免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: myworkstation

[其他] 数据抓包分析对互联时代技术人员有何价值? [复制链接]

论坛徽章:
3
季节之章:冬
日期:2015-01-15 10:36:57IT运维版块每日发帖之星
日期:2015-09-24 06:20:00IT运维版块每日发帖之星
日期:2015-10-24 06:20:00
发表于 2015-04-01 07:36 |显示全部楼层
我得先承认我是it行业的屌丝,一般很少购买软件来使用,要使用第一个想到的是开源的软件。于是很自然就知道了wireshark,习惯我叫它鲨鱼。
关于今天要讨论的两点,我根据平时工作的体会简单的谈谈感想,也顺道学习下其他同行的经验。
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
   我以前用过的工具有:
  1)sniffer pro记得好像是4.7版本的,感觉相当专业,基本上你能想到的协议都有支持;不过要钱的东西,安装了一个破解版,用起来感觉不踏实,安装过程也很繁琐,尤其是重装系统的时候;
2)tcpdump,这个在linux系统下用的最多,支持windows吗,这个没有研究过。都是利用命令行的方式生成wireshark能读的懂的包,然后在wireshark中打开分析,曾经分析sip语音系统的时候利用tcpdump结合wireshark的时候用过,大体是tcpdump+winscp+wireshark配合进行抓包分析,网上有这样的案例大家可参考;
3)科来协议分析系统,我使用的是50个点限制的交流版,所以功能方面很多有限制,这是咱们中国人自己的分析系统感觉还是很不错,界面友好,适合中国人的使用习惯,他们的商业版没有使用过,具体不是很了解,期待其他使用过的人分享;
4)wireshark就是今天要讲的重点了。感觉很好,我电脑中就安装了两个类似的软件,一个是wireshark(Version 1.4.3 (SVN Rev 35482 from /trunk-1.4)),另外一个是科来分析系统交流版。已经养成习惯了,不过由于我水平有限,有种好刀给到了我却不知道如何充分发挥它的最大用途的感觉。就解决实际问题上我主要使用两个。1个是用来分析sip语音系统拨号问题,由于sip服务器是linux系统,所以先再linux系统中使用tcpdump抓包然后通过winscp传到windows电脑中,再用wireshark分析。这里就体现优势了,wireshark比tcpdump友好多了。。另外一个是当发现内网网络反应很慢的时候,利用wireshark抓包分析下,看是哪些流量占据了带宽,我用这个方法解决过两次问题,迅速定位到了问题主机,在很强势的用户部门面前我拿到了证据让他们心服口服。
其他的一些也有接触过,但是接触时间短,仅仅限于测试,没有很深入的使用,就不发表感想了。

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
wireshark我所看重的功能:
1)能自定义显示字段;界面默认列出来的就那么几列(如源地址、目的地址),但是我需要的信息不止那些,可以将更多的信息列出来,
2)支持无线,这个随着公司网络的发展未来肯定需要;
与商业软件比较:
1)无成本:开源,用起来放心,;
2)全体使用者都是支持团队:并有专业的支持团队,软件系统不停的在更新升级,支持的协议不断的在增多,商业软件的支持团队可能就是某一个公司,他们有商业方面的逐利考虑,不一定会吧用户的真实需求放在第一位;
3)缺点:图形方面的展示没有sniffer友好,直观;希望加强。

前面已经有不少同行谈过了,暂时谈这些个人的体会吧,,
  最近又接触了一款协议分析工具。iris工具,是网络流量分析监测工具 可以帮助系统管理员轻易地捕获和察看用户的使用情况,可以同时检测到进入和发出的信息流,会自动进行存储和统计偏于察看和管理。暂时先是也弄个它作为分析几个协议看看,目前还没有深入了解,从界面上看,比wireshark要简单,功能也没有那么多。有该工具使用说明:http://wenku.baidu.com/view/f9c62bd449649b6648d74742.html

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-04-01 09:09 |显示全部楼层
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
抓包可以学到很多东西,特别是网络协议之类的东西,但这也是抓包中最难的部分,普通的协议像http还好一些,其他一些私用协议和加密的东西就比较难处理。
目前比较麻烦的是怎么样在大流量的情况下抓包,大流量下一方面抓包影响网络性能,另一方面数据包太多,在没有用镜像功能的交换机时,这是比较麻烦的。

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?

抓包tcpdump用的最多,但是tcpdump解决一些小问题有优势,数据包多的话是用wireshark来比较方便,原来omni出的一款抓包工具也非常优秀,比wireshark小,但是性能和使用起来都比wireshark顺手,只是这几年没更新了,不支持新协议和新网卡,也只能用在windows下。


3、你觉得抓包分析是一项必要的工作技能吗?为什么?
毫无疑问,抓包是运维的必备技能,不会抓包的运维绝对不是好运维。很多疑难的网络故障就要靠抓包来解决。比如最常见的arp欺骗和广播风暴,不用抓包的话很难快速定位故障机器。还有一些网线或光纤接触不好的故障,不抓包也很难分析出来。
我遇到一个疑难的故障:两个单位之间互联,网线测试都没问题,就是不通。经过抓包,发现其他单位的ping请求都伴随着arp查询,而不是走的路由,马上就定位为掩码不对,经排查,确实是路由器上的掩码出现失误。这种只有抓包才能快速地找出原因。

论坛徽章:
208
巨蟹座
日期:2013-09-02 09:16:36卯兔
日期:2013-09-02 20:53:59酉鸡
日期:2013-09-05 21:21:45戌狗
日期:2013-10-15 20:51:17寅虎
日期:2013-10-18 21:13:16白羊座
日期:2013-10-23 21:15:19午马
日期:2013-10-25 21:22:48技术图书徽章
日期:2013-11-01 09:11:32双鱼座
日期:2013-11-01 20:29:44丑牛
日期:2013-11-01 20:40:00卯兔
日期:2013-11-11 09:21:32酉鸡
日期:2013-12-04 19:56:39
发表于 2015-04-01 09:29 |显示全部楼层
还用问,一定得会啊,边学边用

论坛徽章:
0
发表于 2015-04-01 09:42 |显示全部楼层
回复 2# action08


    你通常会抓取分析那方面的数据包呢?

论坛徽章:
0
发表于 2015-04-01 09:47
回复 3# bj161109


    哪类工具用的最多,tcpdump,wireshark或者其它?为什么?

Tcpdump工具是一款不错的命令行抓包工具。虽然没有图形界面,但是支持各种的过滤器,可以帮助用户捕获数据包。

论坛徽章:
0
发表于 2015-04-01 09:48 |显示全部楼层
回复 4# forgaoqiang


   

论坛徽章:
0
发表于 2015-04-01 09:48 |显示全部楼层
回复 5# realmon


    还有Tcpdump,该工具还可以使用各种的捕获过滤器。

论坛徽章:
0
发表于 2015-04-01 10:02 |显示全部楼层
回复 6# donalds2008


    TCPdump工具还可以在Android下运行,例如,手机。这样,还可以对手机上的数据包进行捕获,并分析设备的安全性。

论坛徽章:
0
发表于 2015-04-01 10:07
回复 7# heguangwu


    还有一款类似Wireshark的抓包工具Sniffer也不错。

论坛徽章:
0
发表于 2015-04-01 10:08 |显示全部楼层
回复 8# qingduo04


   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP